|
截止标准版本AF8.0.69,应用控制策略支持的部署模式有:路由模式,透明模式,虚拟网线部署模式,混合模式 Ps:AF旁路部署时,设备是接收交换机的镜像数据,应用控制策略功能不生效,所以无需配置应用控制策略,且旁路模式没有应用统计 若AF做出口网关,内网上互联网场景,应用控制策略建议只放通内网到外网的any放通;外网访问内网服务器场景,建议针对特定业务端口放通,若AF做透明接入,明确网络数据端口、业务端口进行放通,若不明确,则双向放通、防止误拦截数据。并且应用控制策略全放通会影响等保测评,全端口放通有一定风险。 配置路径: ①以标准版本8.0.35-8.0.69版本操作示例:可在【策略】-【访问控制】-【应用控制策略】中新增或是复制应用控制策略 ②以标准版本AF7.4-8.0.32版本操作路径示例:可在【策略】-【访问控制】-【应用控制策略】中新增或是复制应用控制策略 ③以标准版本AF7.3版本操作路径示例:可在【内容安全】-【应用控制策略】中新增或是复制应用控制策略 (1)网络对象:选择需要控制的源目IP地址或者用户 (2)用户组:是从[用户认证/用户管理/组/用户]的组织结构中调用的用户信息 (3)Mac地址:选择需要控制的源目mac地址 (4)域名:选择需要控制的域名 注意:基于域名和mac地址的应用控制策略详细点击下方基于域名和mac的应用控制策略配置 【服务】和【应用】限制需要范围的端口协议及其应用 【时间计划】:应用控制策略生效的时间,在【对象】-【时间计划】设置对应时间计划引用针对策略进行时间限制 注意:应用控制策略默认是单向放通的,不用双向放通,正常是匹配会话进行回包放行,二次穿透环境下会被应用控制拦截回包,即便有禁止wan到lan的策略也不会导致内网无法上网,但防火墙本身的流量不受防火墙应用控制策略限制 设置应用控制策略排除IP地址: 1、在做了限制上网的策略里面把该IP从原网络对象中拿出来,使其不受限制上网策略控制 2、将该IP加入白名单内(该IP不受安全策略防护)注意:全局排除这些ip会导致所有策略对这些ip都不生效 3、AF的应用控制策略匹配顺序是从上往下,新增一条针对这个几个需要放开的IP做放行的应用控制策略,再做一条禁止上网策略位置在允许策略后面,就先匹配放行策略、再匹配禁止网段策略 ①以标准版本AF7.3版本操作路径示例:在【内容安全】-【应用控制策略】中配置 ②以标准版本AF7.4-8.0.69版本操作路径示例:在【策略】-【访问控制】-【应用控制策略】中配置 注意:应用控制策略最多配置4096条 | 
楼主
发表于 2022-12-30 09:07
技术研究员2级 
